Posté le mai 17, 2020 à 13:46
PLUSIEURS SUPERORDINATEURS EN EUROPE PIRATÉS DANS LE BUT D’EXTRAIRE DE LA CRYPTOMONNAIE
Un rapport récent a révélé que des hackers inconnus avaient compromis plusieurs superordinateurs avec des logiciels malveillants de minage de cryptomonnaie. En conséquence, les ordinateurs ont été éteints pour permettre une enquête sur l’infiltration.
L’atteinte à la sécurité a été signalée en Suisse, en Allemagne et au Royaume-Uni. Dans le même ordre d’idées, il a été signalé qu’une intrusion similaire s’était produite dans un centre informatique à hautes performances en Espagne.
L’Université d’Edimbourg a révélé le premier rapport sur l’incident de piratage lundi. L’Université exploite le superordinateur ARCHER, et a révélé qu’il y avait des infiltrations de sécurité sur les nœuds de connexion ARCHER. L’institution a pris la première mesure de sécurité en fermant le système ARCHER pour enquêter correctement sur la violation et réinitialiser les mots de passe SSH pour contrecarrer les dommages futurs du système.
Une série de superordinateurs infectés en Allemagne
Au cours de la même période, la bwHPC, l’institution chargée de coordonner les projets de recherche sur les superordinateurs dans le Land allemand de Bade-Wurtemberg, a également annoncé une attaque contre cinq de ces superordinateurs. Elle a donc dû arrêter ces systèmes pour protéger d’autres sections du superordinateur contre les infiltrations.
Les superordinateurs infectés étaient le superordinateur bioinformatique bwForCluster BinAC de l’Université de Tubingen, le superordinateur de science quantique JUSTUS de l’Université d’Ulm, les superordinateurs ForHLR II et bwUniCluster 2.0 de l’Institut de technologie de Karlsruhe (KIT), ainsi que le superordinateur Hawk de l’Université de Stuttgart.
Un autre superordinateur infecté en Espagne
Mercredi, un autre rapport a révélé qu’un superordinateur à Barcelone, en Espagne, a également été infecté. Le chercheur en sécurité Felix Leitner a indiqué qu’un problème de sécurité a eu un impact sur un superordinateur en Espagne, et que les gestionnaires de l’ordinateur l’ont automatiquement éteint pour éviter de futurs impacts négatifs.
Puis, jeudi, d’autres rapports d’infection de superordinateurs ont été publiés. Le premier rapport est venu du Centre informatique de Leibniz (LRZ), où les gestionnaires ont déclaré qu’il y avait une faille de sécurité dans le système informatique, ce qui a conduit à la fermeture de son cluster d’ordinateurs à partir d’Internet.
Plus tard dans la journée, un autre rapport de Julish Research en Allemagne, détaillant l’infiltration de trois de ses superordinateurs et leur arrêt éventuel pour prévenir de futures attaques, a été publié. D’après ce rapport, ils ont dû fermer les superordinateurs JUWELS, JUDAC et JURECA pour éviter de les exposer davantage à une infiltration.
Un autre superordinateur en Suisse a été victime d’une violation, le Centre suisse de calcul scientifique (CSCS) ayant été forcé d’arrêter son superordinateur à la suite d’une tentative d’infiltration malveillante. Le CSCS a révélé que le supercalculateur restera éteint jusqu’à ce qu’il ait rétabli un environnement sûr.
Puis hier, de nouvelles violations ont été signalées sur un autre superordinateur alors que Robert Helling, un scientifique allemand, a publié un rapport sur les logiciels malveillants. Selon Robert, le logiciel malveillant s’est infiltré dans une unité de superordinateurs de la faculté de physique de l’université de Munich, en Allemagne.
Accès obtenu grâce à des connexions SSH vulnérables
Aucune organisation ou institution ayant enregistré des violations de superordinateur n’a publié de détails sur la façon dont les hackers ont infiltré leurs systèmes. Néanmoins, l’équipe de réaction aux incidents d’European Grid Infrastructure (EGI) a publié des indications sur la violation du réseau et des échantillons de logiciels malveillants provenant de certains des incidents.
Selon le rapport, la plupart des infiltrations auraient pu se produire en raison de la vulnérabilité des connexions SSH. Il semble que les hackers aient volé les références des membres de l’université qui ont eu accès au supercalculateur pour résoudre différents problèmes informatiques. Les connexions SSH volées appartenaient à des universités en Pologne, en Chine et au Canada.
L’attaque pourrait provenir d’un groupe de hackers
Selon le co-fondateur de la société de sécurité Cado, Chris Doman, un groupe de hackers particulier aurait pu mener l’attaque. Selon lui, bien qu’il n’y ait pas de preuve que les attaques aient été perpétrées par un groupe de hackers, certaines indications montrent des indicateurs de réseau familiers et des noms de fichiers de logiciels malveillants. Par conséquent, selon Doman, le même acteur de la menace pourrait être responsable de ces attaques, considérant qu’elles ont compromis les systèmes au cours de la même période.
D’après son analyse, les attaquants ont utilisé la vulnérabilité CVE-2019-15666 après avoir accédé au mode superordinateur. Après avoir obtenu l’accès, ils ont exploité la cryptomonnaie Monero (XMR) après avoir déployé l’application.
Pour rendre la connexion plausible, la plupart des organisations concernées ont récemment annoncé qu’elles donnaient la priorité à leurs recherches sur la pandémie COVID-19. Cela prouve encore plus que les hackers peuvent provenir du même groupe.
En raison de l’arrêt et des temps d’arrêt ultérieurs, les recherches sur COVID-19, utilisant ces superordinateurs infectés, seraient maintenant mises en attente.
